Categories: Sicherheit

Antivirenprodukte von Symantec weisen schwerwiegenden Overflow-Bug auf

Google-Sicherheitsforscher Tavis Ormandy hat einen Fehler in Symantecs Antivirus Engine entdeckt. Das Parsen präparierter Header-Informationen einer Datei im Format Portable-Executable (PE) kann zu einem Puffer-Überlauf führen.

„Solche deformierten PE-Dateien können per E-Mail eingehen, durch Downloads eines Dokuments oder einer Anwendung, und auch durch Besuch einer bösartigen Website“, heißt es in Symantecs inzwischen verfügbarem Advisory. „Eine Nutzerinteraktion ist nicht nötig, um das Parsen der Datei auszulösen.“ Die Lücke wurde als CVE-2016-2208 klassifiziert.

Auf der Seite von Googles Project Zero heißt es, unter Linux, OS X oder anderen Unix-artigen Systemen führe der Exploit dazu, dass ein Heap Overflow ausgelöst werde. Unter Windows hingegen werde die Scan-Engine in den Kernel geladen, „was dies zu einer aus der Ferne nutzbaren ring0-Speicherkorruptions-Schwachstelle macht – etwa das Schlimmste, was passieren konnte.“

HIGHLIGHT

Samsung Galaxy TabPro S im Test

Mit einem Gewicht von nur 693 Gramm gehört das Samsung Galaxy TabPro S zu den Leichtgewichten unter den 12-Zoll-Windows-Tablets. Hervorzuheben ist auch das verwendete Super AMOLED-Display: Es liefert einen hervorragenden Schwarzwert und einen sehr hohen Kontrast. Die Farbdarstellung ist exzellent

Somit belegt der Fall, dass es keine gute Idee war, unter Windows die Antiviren-Engine in den Kernel zu laden. Ormandy schreibt: „Dies ist eine Schwachstelle, die Remote-Codeausführung ermöglicht. Weil Symantec einen Filter-Treiber einsetzt, um alle Systemkommunikation abzufangen, genügt es, einem Opfer eine Datei oder einen Link zu schicken.“ Die Dateiendung spiele übrigens keine Rolle. Typisches Zeichen für einen erfolgreichen Angriff dürfte ein Systemabsturz sein, der in einem Blue Screen of Death resultiert.

Ein erfolgreicher Angriff resultiert im BSoD (Screenshot: Tavis Ormandy, Google).

Als Ormandy seinen Befund an Symantec einschickte, brachte er prompt Symantecs Mailserver zum Absturz. Der Beispielcode steckte zwar in einer passwortgeschützten ZIP-Datei, die Sicherheitslösung erriet das Passwort „infected“ jedoch.

Laut Google Project Zero sind Symantec Endpoint Antivirus, Norton Antivirus, Symantec Scan Engine und Symantec Email Security auf allen Plattformen betroffen – „sowie vermutlich alle anderen Antiviren-Produkte von Symantec.“ Patches stehen seit dem gestrigen Montag zur Verfügung. Wer LiveUpdate nutzt, erhält sie automatisch.

Google-Forscher Ormandy hat schon Schwachstellen in zahlreichen anderen Antivirenprodukten aufgespürt, darunter Avast Antivirus, AVG Antivirus, FireEye, Kaspersky Antivirus und Malwarebytes. Auch Lücken in Microsoft Windows konnte er in der Vergangenheit melden.

[mit Material von Chris Duckett, ZDNet.com]

Tipp: Kennen Sie die berühmtesten Hacker? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Florian Kalenda

Seit dem Palm Vx mit Klapp-Tastatur war Florian mit keinem elektronischen Gerät mehr vollkommen zufrieden. Er nutzt derzeit privat Android, Blackberry, iOS, Ubuntu und Windows 7. Die Themen Internetpolitik und China interessieren ihn besonders.

Recent Posts

SmokeBuster bekämpft SmokeLoader

Malware SmokeLoader wird weiterhin von Bedrohungsakteuren genutzt, um Payloads über neue C2-Infrastrukturen zu verbreiten.

54 Minuten ago

Taugen Kryptowährungen als Unterstützer der Energiewende?

Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.

17 Stunden ago

Supercomputer-Ranking: El Capitan überholt Frontier und Aurora

Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…

21 Stunden ago

Ionos führt neue AMD-Prozessoren ein

Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…

22 Stunden ago

Lags beim Online-Gaming? DSL-Vergleich und andere Tipps schaffen Abhilfe

Beim Online-Gaming kommt es nicht nur auf das eigene Können an. Auch die technischen Voraussetzungen…

22 Stunden ago

GenKI-Fortbildung immer noch Mangelware

Fast jedes zweite Unternehmen bietet keinerlei Schulungen an. In den übrigen Betrieben profitieren oft nur…

22 Stunden ago